防得住才省心奇安信椒圖全新版本正式發(fā)布

2021-11-19 22:53:43來源:威易網(wǎng)作者:

11月19日,奇安信正式發(fā)布了椒圖新一代服務(wù)器安全產(chǎn)品。新版本椒圖不僅實現(xiàn)了“資產(chǎn)-漏洞-實體/虛擬補丁”的閉環(huán)管理,還與DevOps深度融合,讓安全賦能Dev開發(fā)階段與Ops運營階段,推動“業(yè)務(wù)的安全”向“安全的業(yè)務(wù)

       11月19日,奇安信正式發(fā)布了椒圖新一代服務(wù)器安全產(chǎn)品。新版本椒圖不僅實現(xiàn)了“資產(chǎn)-漏洞-實體/虛擬補丁”的閉環(huán)管理,還與DevOps深度融合,讓安全賦能Dev開發(fā)階段與Ops運營階段,推動“業(yè)務(wù)的安全”向“安全的業(yè)務(wù)”轉(zhuǎn)變,并且新增多維度威脅檢測指標(biāo)與實戰(zhàn)化安全基線,緊密貼合服務(wù)器的安全需求,打造面向攻防實戰(zhàn)場景的新一代服務(wù)器安全產(chǎn)品。

 

\

 

漏洞管理閉環(huán)化


黑客攻擊往往是利用了攻防間的信息不對稱,即黑客知道業(yè)務(wù)有漏洞,而管理者卻不自知,這源于對信息資產(chǎn)、漏洞的掌控力不足。新版本椒圖采用本地識別和網(wǎng)絡(luò)探測兩種方式,可以實現(xiàn)對業(yè)務(wù)環(huán)境中服務(wù)器資產(chǎn)的精準(zhǔn)識別,包括CPU、內(nèi)存、端口、賬號、應(yīng)用、框架等13類、數(shù)百項服務(wù)器核心資產(chǎn),并基于發(fā)現(xiàn)的資產(chǎn),有效檢測漏洞、危險端口暴露、弱口令、新增賬號、Webshell文件等安全風(fēng)險,實現(xiàn)資產(chǎn)與風(fēng)險的同步管理。

 

\

 

但在現(xiàn)實環(huán)境中,很多情況是不敢打補丁,而不是沒有補丁可打,因為打補丁可能會導(dǎo)致業(yè)務(wù)重啟、服務(wù)器重啟、藍(lán)屏等業(yè)務(wù)中斷,甚至在未經(jīng)驗證的補丁中可能夾帶病毒、后門等惡意程序,帶來新的安全威脅。針對此行業(yè)難題,新版本椒圖引入虛擬補丁的技術(shù)手段,在內(nèi)核態(tài)基于WFP框架/Netfilter框架實現(xiàn)引流功能,將虛擬機的入站、出站流量通知給應(yīng)用態(tài)的IPS引擎,并用IPS引擎對流量實施檢測防護,可以實現(xiàn)在不打?qū)嶓w補丁的情況下,防止黑客利用漏洞攻擊服務(wù)器,目前針對系統(tǒng)/應(yīng)用的虛擬補丁數(shù)量已經(jīng)達(dá)到接近1萬條,可以真正實現(xiàn)資產(chǎn)-漏洞-實體補丁-虛擬補丁的閉環(huán)管理。


運維開發(fā)安全化


伴隨著企業(yè)上云速度的加快,以及工作負(fù)載形態(tài)變化,安全出現(xiàn)技術(shù)性左移,服務(wù)器端的攻防思路也從發(fā)現(xiàn)攻擊再報警的后知后覺,逐步轉(zhuǎn)變?yōu)?/font>業(yè)務(wù)上線即安全”的提前防御,即打造具備原生態(tài)安全能力的業(yè)務(wù)。新版本椒圖基于CWPP云工作負(fù)載保護平臺框架打造,天然覆蓋DevOps的生命周期,Dev開發(fā)環(huán)節(jié)的風(fēng)險組件、云配置、密鑰、惡意代碼檢測,到Ops運行時環(huán)節(jié)的工作負(fù)載風(fēng)險&配置核查、微隔離、應(yīng)用權(quán)限控制、行為監(jiān)控、惡意軟件查殺,均能提供有效保護。


\


值得關(guān)注的是,CWPP能力框架中,IN-APPWAFRASP是最貼合DevOps的安全實踐,這兩項能力均通過代碼賦能的方式嵌入IISApache、TomcatWeb類業(yè)務(wù),讓業(yè)務(wù)上線即安全,具備對抗黑客攻擊的能力。


具體而言,IN-APPWAF是“前置過濾器”,通過代理HTTP請求可以有效檢測惡意流量,攔截SQL注入、跨站等網(wǎng)絡(luò)攻擊,能完全替代硬件WAF功能,改變了傳統(tǒng)WAF部署需要重定向流量的繁瑣過程并可以直接解析加密流量,讓Web業(yè)務(wù)上線即安全。


RASP是“二級過濾器”,工作于ASP、PHP、Java等腳本語言解釋器內(nèi)部,通過HOOK函數(shù)的方式,可以細(xì)粒度的監(jiān)控應(yīng)用腳本的行為及函數(shù)調(diào)用上下文信息,及時發(fā)現(xiàn)惡意代碼和漏洞利用行為,因為RASP只關(guān)注后續(xù)行為、無視前置漏洞,因此可以有效對抗Web0day,對任意命令執(zhí)行、文件上傳、任意文件讀寫、Weblogic反序列化、Struts20day漏洞利用均有較強防護能力,與IN-APPWAF組成Web業(yè)務(wù)原生安全插件,改變海量報警卻無法防御的被動局面,推動“業(yè)務(wù)的安全”向“安全的業(yè)務(wù)”轉(zhuǎn)變。


威脅檢測智能化

 

\


奇安信天擇實驗室負(fù)責(zé)人吳康表示,椒圖新版本引入全新的龍息Webshell檢測引擎。該引擎采用動靜結(jié)合的方式,融合了多種Webshell檢測方法和模型,并對多年以來捕獲的海量Webshell樣本進行分析和總結(jié),通過特征規(guī)則、靜態(tài)污點跟蹤和動態(tài)腳本沙盒相結(jié)合的方式,實現(xiàn)對各類Webshell的高查殺和低誤報。

與此同時,新版本椒圖增加高達(dá)71項威脅檢測項,包括:無文件攻擊、外帶攻擊、口令復(fù)用等,并對反彈shell防護、Rce利用檢測等原有數(shù)十項功能深度優(yōu)化,實現(xiàn)對服務(wù)器攻擊的無死角檢測,經(jīng)過奇安信安全能力中心測評,新版本椒圖風(fēng)險識別能力達(dá)到99%、安全防護能力達(dá)到88%、攻擊溯源能力達(dá)到80%,在同類產(chǎn)品中全面領(lǐng)先。


值得關(guān)注的是,為切實幫助客戶提升安全運營效率、防護能力和響應(yīng)速度,椒圖與奇安信安服團隊完成了深度融合,基于“人+機器”的模式,在數(shù)千場實戰(zhàn)攻防演習(xí)中屢立奇功,積累了海量的惡意樣本特征庫、攻擊工具特征庫,以及實戰(zhàn)化基線檢查模板,這些數(shù)據(jù)的加持將產(chǎn)品的實戰(zhàn)化能力大幅度提升,更好地滿足服務(wù)器攻防需求。


未來,依托椒圖團隊11年服務(wù)器安全攻防對抗經(jīng)驗,以及安服團隊以攻防技術(shù)為核心實戰(zhàn)化的安全服務(wù)能力,奇安信將為客戶提供“看得見、防得住”的服務(wù)器安全保障,讓企業(yè)的服務(wù)器更安心、運營更省心。

關(guān)鍵詞:奇安信椒圖